お客様のデータ保護は 私たちの最優先事項です
SPHIOR はセキュリティファーストのアーキテクチャで構築されています。セキュリティプラクティス、コンプライアンスロードマップ、サブプロセッサ一覧を公開し、導入前に信頼性を評価いただけるようにしています。
SOC 2
Type I 準備中
TLS 1.2+
全通信暗号化
AES-256
保存データ暗号化
GDPR
DPA 対応
お客様のデータをどう保護しているか
通信暗号化
全通信を TLS 1.2 以上で暗号化。HTTP は自動的に HTTPS へリダイレクト。HSTS ヘッダーを強制適用。
保存データの暗号化
全ての保存データを AES-256 で暗号化。データベースバックアップとオブジェクトストレージ(R2)はプロバイダー管理の暗号化キーを使用。
アクセス制御(RLS)
行レベルセキュリティによりデータベース層でテナント分離を実現。各顧客は自社データのみにアクセス可能。管理エンドポイントは MFA 保護。
認証情報の保護
Enterprise 認証スキャンでは AES-GCM 256bit のクライアントサイド暗号化と HKDF ベースの二層鍵アーキテクチャを使用。平文の認証情報はスキャン実行時のみメモリ上に存在し、完了後に即時破棄。
隔離スキャン環境
セキュリティスキャナーは一時的なコンテナ(AWS Lambda + Fargate)で実行され、各スキャン後に破棄。スキャン間で永続的な状態は保持しません。
継続的モニタリング
インフラ稼働状況、スキャンパイプラインのステータス、エラー率を 24/7 モニタリングし、異常を自動アラート。
SPHIOR は自社プロダクトで毎月、自社を監査しています
SPHIOR は、顧客に提供しているものとまったく同じ自動セキュリティスキャンを自社の本番インフラに対して実行しています。毎月、本番ドメイン(sphior.app)に対して外部脆弱性診断と認証後脆弱性診断を実施し、顧客と同じ構造化レポートにまとめています。
つまり SPHIOR は監査する側でもあり、監査される側でもあります。自社プロダクトを自ら使い、品質を証明しています。重大な所見は 30 日以内に修正。スキャンエンジンが正確で実用的な結果を出し続けていることの継続的な保証となります。
定義された SLA に基づく体系的な対応プロセス
検知 & トリアージ
自動監視により異常を検知。オンコールエンジニアが重大度を評価。
封じ込め
影響を受けたシステムを隔離。侵害された認証情報を失効。フォレンジック証拠を保全。
顧客通知
影響を受けた顧客に影響範囲と推奨アクションを通知。
修復 & ポストモーテム
根本原因分析、恒久的な修正のデプロイ、インシデント後レビューの公開。
明確な保持期間と削除権
| データ種別 | 保持期間 | 目的 |
|---|---|---|
| スキャン結果 | 13 ヶ月 | 前年同期比較とトレンド分析 |
| PDF レポート | 13 ヶ月 | 監査証跡アーカイブ。AES-256 暗号化保存 |
| データベースバックアップ | 7 日間 PITR | 災害時のポイントインタイムリカバリ |
| 一時スキャンペイロード | 0 — 即時破棄 | 永続化なし。実行後に破棄 |
| アカウント削除時 | 30 日 | 猶予期間後に全システムから完全消去 |
| 監査ログ | 12 ヶ月 | セキュリティ調査・コンプライアンス |
データを処理する第三者プロバイダー
サブプロセッサの数を最小限に抑え、統合前に各プロバイダーのセキュリティポスチャーを慎重に評価しています。このリストはサブプロセッサの追加・削除時に更新されます。
| プロバイダー | 用途 | 処理データ | 所在地 |
|---|---|---|---|
| Database Provider | データ保存・認証・アクセス制御 | アカウント情報・スキャンメタデータ・アクセス制御されたレコード | US |
| CDN & Edge Provider | コンテンツ配信・エッジコンピュート・暗号化オブジェクトストレージ・DDoS防御 | PDFレポート(AES-256暗号化)・スキャン結果 | Global |
| Application Host | アプリケーションホスティングとリクエスト処理 | 永続的な顧客データなし。リクエスト処理のみ | Global (Edge) |
| Cloud Infrastructure | 隔離された一時コンテナでのセキュリティスキャナー実行 | 一時的なスキャンペイロード。実行完了後に破棄 | Asia-Pacific (Tokyo) |
| Payment Processor | 決済処理・サブスクリプション課金・請求書発行 | 決済トークンのみ。SPHIORはカード番号を保存しません | US / EU |
| AI Provider | AIレポート生成(テキスト分析のみ。顧客PIIは送信しません) | 匿名化されたスキャン結果 → 構造化レポートテキスト | US |
| Email Delivery | トランザクションメール配信(月次レポート・アラート) | 受信者メールアドレス・配信メタデータ | US |
責任ある開示ポリシー(VDP)
SPHIOR のサービスにおける脆弱性の報告を歓迎します。報告の受領を 3 営業日以内に確認し、10 営業日以内に初期評価を提供し、確認された脆弱性を 90 日以内に修正することをお約束します。
対象範囲
対象
sphior.app, app.sphior.app, API endpoints
応答 SLA
受領確認 < 3 日、評価 < 10 日
修正 SLA
重大 < 30 日、高 < 60 日、その他 < 90 日
セーフハーバー
善意のリサーチャーに対して法的措置は取りません
DPA を自動生成
GDPR / CCPA / APPI に対応した DPA を自動生成します。以下のフォームに入力すると、署名済み PDF が発行されます。
